Ačkoliv existují i lepší varianty autentizace uživatelů, hesla stále bezpečně převažují. A uživatelé hesla rádi zapomínají a dobré systémy by s tím měly počítat a měly by tudíž umožnit se ztrátou hesla se nějakým způsobem vypořádat. A to pokud možno bezpečně a automatizovaně. Tento článek se zabývá způsoby, jak to lze udělat a vyhnout se přitom obvyklým problémům.
Archiv článků
Při vývoji a nasazení aplikací potřebujeme často trochu chaosu. Tím nemyslím příspěvky našich spolupracovníků, ale náhodně generované klíče či hesla. K jejich generování lze použít řadu různých programů a online služeb, ale já osobně s nimi z různých důvodů nejsem spokojen. Takže jsem napsal a zprovoznil vlastní nástroj, který lze považovat za swiss-army knife pro všechny případy, kdy toužíme po chaosu. A zároveň může sloužit jako inspirace pro tvorbu uživatelského rozhraní pomocí jQuery UI.
Obdivuji profesionálně provedenou práci. A pokládám za velice smutné, že se jediným předmětem mého obdivu za posledních deset let v českém zdravotnictví stala práce agentury Ewing PR, která pro Lékařský odborový klub – svaz českých lékařů organizuje akci "Děkujeme, odcházíme". Nejsem příliš častým klientem českého zdravotnictví, ale i ty řídké zážitky, které jsem měl, mne vedou k přesvědčení, že kdyby šlo do tuhého, raději bych se svěřil do péče veterináře, který se stará o moji čubu.
Dosti často jsem tázán na osud serveru videoarchiv.altairis.cz, zda běží a poběží. Smutnou skutečností je, že sám nevím a potřebuju vaši pomoc.
Pokud jde všechno podle plánu, tak právě v tomto okamžiku začínám v Bratislavě svou přednášku o podzimních novinkách pro webové vývojáře. Můžete si stáhnout mou prezentaci a příklady, které budu předvádět.
Několik webů, mezi nimi i ASPNET .CZ, hostuje pro Microsoft anketu MiniPulse. Jejím prostřednictvím chce Microsoft zjistit, co si o něm vývojáři myslí a jak by se měl zlepšit. Vzhledem k tomu, že je – pokud je mi známo – česká pobočka hodnocena mimo jiné i podle jejích výsledků, můžete si být jisti, že vaše reakce padnou na úrodnou půdu.
Některé konfigurační sekce, typicky například connectionStrings, obsahují citlivé údaje, které by se neměly dostat do rukou cizím. V případě, že se útočníkovi podaří získat obsah souboru web.config – třeba pomocí chyby podobné nedávnému "padding oracle" problému – šifrování konfiguračních sekcí dokáže minimalizovat následky chyby. Obecně se jedná o formu "obrany do hloubky". Problémem je, že za normálních okolností musíte mít k zašifrování možnost spouštět na serveru programy z příkazového řádku, a to pod tou identitou, pod níž běží webová aplikace. Napsal jsem nástroj, který vám umožní konfiguraci šifrovat přímo z webové aplikace.
Po mnoha letech poprvé jsem se zúčastnil evropského Tech-Edu jako běžný účastník (dokonce mně na visačku zapomněli přidat i že jsem MVP, takže působím tak nenápadně, jak je to jenom při mé velikosti a povaze možné). Letošní TechEd je de facto o den kratší, protože v pondělí se konala jenom keynote, žádné normální sessions.
Častou výčitkou, která se na ASP.NET Web Forms snáší, je ošklivé HTML, které generují. Výčitka je to zhusta neoprávněná, protože i Web Forms umí generovat pěkné sémantické HTML, které lze snadno stylovat přes CSS. Je ale třeba správně chápat možnosti, které nám ASP.NET nabízí. V rámci tohoto článku se podíváme, jak na generování moderního HTML v ASP.NET Web Forms.
Myšlenky těch zodpovědnějších ASP.NET programátorů a správců serverů v uplynulých dnech okupovala první pořádná bezpečnostní díra v ASP.NET. Upozorňoval jsem na ni i na tomto webu a nabízel i workaround. Microsoft již vydal i oficiální záplatu, nově dostupnou přes Windows Update. Myslím si, že je přesně ten správý okamžik podívat se, o co vlastně šlo, v čem útok spočívá. Nejedná se totiž ve své podstatě o chybu v ASP.NET, ale o obecný mechanismus kryptografického útoku, který může zasáhnout i vaše vlastní aplikace.